HELP: rimozione di un dialer !!!

[Cribbiolo]

Salve...

Oggi mentre navigavo su internet (ho l'adsl) mi è caduta insiegabilmente la linea e dopo poco mi sono accorto che un altra connessione cercava di collegarsi su internet.
Ho controllato su task maanager se vi fosse qualche processo intruso.
Ho trovato subito questi: "win9A.tmp.exe " "idd9d.tmp.exe " e "win144d.tmp.exe ".
Sono risalito alla cartella dove questi eseguibili risiedevano (c:/windows/temp) e uno di loro presentava questa icona:

Inoltre nelle connessioni remote se n'era aggiunta una denominata 0202 che continuava a cercare di collegarsi ma falliva sempre (forse perchè ho l'adsl??).
Ho provato a terminare i processi e a cancellare manualmente i file dalla cartella temp di windows ma dopo pochi minuti di connessione a internet il problema si è nuovamente presentato.
Ho provato a rimuoverli con parecchi programmi anti virus/malware/dialer (SPYBOT- AVG antispyware - AVG antivirus - Hijackthis ) che riescono a individuare il problema e eliminarlo ma anche in questo caso non del tutto visto che il problema si ripresenta.

Ora mi appello a voi... come devo comportarmi?? Datemi una mano.

Ho scritto questo post con il Blocco note perchè non riesco a rimanere collegato piu di 10 minuti.
Se vi servono altre informazioni, chiedete pure!!!

GRAZIE MILLE!!!

[DexterD]

Ciao...
Allora postaci un log HJT

Scaricati Hijackthis(lo puoi scaricare da QUI ) e installalo.

Poi :
-avvia il programma
-clicca su "do a system scan and save a log file"
-aspetta fino a che non ti si aprira' una pagina del blocco note
-copia e incolla il suo contenuto qui sul forum...

[Cribbiolo]

Logfile of HijackThis v1.99.1
Scan saved at 21.28.01, on 16/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\spupdsvc.exe
C:\WINDOWS\system32\spnpinst.exe
C:\WINDOWS\system32\Sysocmgr.exe
C:\WINDOWS\Mixer.exe
C:\Programmi\QuickTime\qttask.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\wuauclt.exe
D:\DISCO D\Pc Update\programmi\antivirus\hijackthis\HijackThis.e xe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Sygate Personal Firewall] sys.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] sys.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV0 2.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{E832E28E-3ED8-4D10-94FD-970D6043A576}: NameServer = 62.211.69.150 212.48.4.15
O20 - Winlogon Notify: winxrz32 - C:\WINDOWS\SYSTEM32\winxrz32.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe

[DexterD]

Allora...

Prima killa i processi sospetti

Con hijackthis fixxa la seguente voce:

O20 - Winlogon Notify: winxrz32 - C:\WINDOWS\SYSTEM32\winxrz32.dll

Poi spostati in questa directory e cancella il file in rosso:

C:\WINDOWS\SYSTEM32\winxrz32.dll

Infine avvia CCleaner e pulisci il sistema...

[Cribbiolo]

Innanzitutto GRAZIE MILLE...
Non riesco a cancellare il file dalla cartella system32... mi dice che è in uso!!

ccleaner dove lo trovo??
Lo devo installare??

[DexterD]

Ok allora scaricati Killbox. Una volta scaricato mettilo in una cartella tutta sua. Aprilo metti la spunta su Delete on Reboot, poi scegli Single File infine clikka sulla cartella gialla e seleziona il file indicato, infine clikka sulla croce Bianca. Ti chiederà di riavviare.

Una volta riavviato scaricati CCleaner (devi installarlo), ed esegui la pulitura sia dei files che del registro , se è la prima volta che lo installi prima di avviare il cleaner vai su: Opzioni>Avanzate e togli la spunta a Cancella file in Windows Temp.... dopo la pulizia dei file vai su Problemi> Trova Problemi infine Ripara Selezionati... ti kiederà se salvare una copia di backup te rispondi Si e salvalo in una cartella. Infine ripara tutti....

[Cribbiolo]

Ho eseguito alla lettera cio che mi hai detto... speriamo non succeda piu niente.
Nuovamente grazie... per ora

PS: sai dirmi come ho fatto a prendere questo virus??

[DexterD]

I dialer vengono scaricati solitamente quando si visitano siti non molto attendibili (crack, porno, casinò, ecc). Oppure visitando siti che "sembrano" attendibili ma non lo sono...
Di niente...